نحوه کار با PDO و دفع SQL Injection از طریق آن

  • بوسیله: محسن شفیعی
  • در 1391/11/28 - 13:47
  • نظرات (8)
نحوه کار با PDO و دفع SQL Injection از طریق آن

نحوه کار با PDO و دفع SQL Injection از طریق آن

این مطلب در دسته بندی مطالب پی اچ پی است. پی اچ پی را در اینجا دنبال کنید.

در مطالب گذشته در مورد امنیت در PHP در مورد حمله SQL Injection صحبت کردیم. و گفتیم میتوان با استفاده از PDO برای دفع این حملات استفاده کرد. در این مطلب با نحوه کار با PDO آشنا میشویم. سعی کنید از این به بعد در پروژه ها از PDO استفاده کنید.

شما احتمالا همیشه برای نمایش تعدادی رکورد از دیتابیس به صورت زیر به دیتابیس متصل میشدید و رکوردها را نمایش میدادید:

$connection=@mysql_connect($host,$user_name,$pass_word) or die(mysql_error());
$dbConnection=mysql_select_db($db_name,$connection) or die(mysql_error());
$query="insert into p5
                    (id,name,num_of_stu) values
                    ('".$id."','".$name."','".$num_of_stu."')";
$result=mysql_query($query);

اما با PDO کار فقط کمی فرق میکند. با PDO شما میتوانید به همه دیتابیس ها از انواع مختلف متصل شوید بدون اینکه در کدهایتان تغییری ایجاد کنید(البته کمی تغییر اجتناب ناپذیر است). همچنین PDO به صورت شی گرا نوشته شده است. وقتی شما از PDO برای کار با دیتابیس استفاده میکنید در واقع شما حملات SQL Injection را نیز دفع کرده اید. اطلاعات بیشتر در مورد SQL Injection

(بیشتر…)